Tušíte, jak Vás vnímá útočník a jaké nebezpečí to pro Vás skýtá? Fortinet Fortirecon je služba, která Vám pomůže zmapovat a ohodnotit rizika spojená s digitálním prostorem i bezpečností vlastních prostředků.
Komplexní ekosystém ochrany
Léty prověřený a neustále rozvíjející se technologický koncept Fortinet Security Fabric je základem obrany vnitřní sítě a perimetru. Nápomocný je zejména v širší detekci hrozeb a automatizované reakci na ně. Základem ekosystému Security Fabric je firewall FortiGate, který je jeho pomyslným srdcem. Nicméně skrze integrace do Security Fabric vstupují nejen další komponenty výrobce, ale i nástroje a aplikace třetích stran.
Lze tak dosáhnout unifikované bezpečnosti od klienta (FortiClient) až po perimetr, tedy end-to-end řešení bezpečnosti. Pokud je FortiGate pomyslným srdcem konceptu SecurityFabric, pak FortiAnalyzer bude pomyslnou hlavou. Tento analytický a archivační nástroj hraje zásadní roli v porozumění tomu, co se v celém ekosystému děje. Přijímá a koreluje stavové informace ze všech zařízení, díky čemuž je schopen identifikovat nežádoucí komunikace a stopy útočníka napříč celou sítí. Skrze integrace a stanovené playbooky Security Fabric pak mohou těmto nálezům následovat automatizované protiakce.
Za hranicí perimetru
Kam však Security Fabric nedosáhne, a tudíž ani FortiAnalyzer nevidí, je dění za hranou perimetru. Nevidí, co a kde je o vaší společnosti uvedeno, kdo má na vás políčeno, jaké taktiky k útoku může použít a jaké hmotné i nehmotné škody vám tím mohou vzniknout. A je to zapříčiněno právě tím, jak silně jsme koncentrovaní na dění a analýzu vnitřní sítě. Snadno pak zapomeneme, co máme venku, jakou hodnotu to pro nás má, a jak toho útočník může zneužít.
Aktivně se připravujeme na reakci v době vedení útoku, nebo alespoň na nápravu škod po něm. Až dosud nám ale chyběly nástroje na identifikaci samotné přípravy útoku, jeho průzkumné fáze, kdy se útočník teprve rozhoduje nebo jak hodnotným a snadným cílem může naše společnost či organizace být.
Čekání na požár
Správci si často neuvědomují všechna konkrétní rizika spojená s provozem IT, neví čemu z vnějšku čelí a jak rizikové to je. Tato fáze by se dala označit čekáním na požár. Ano, možná štěstí přeje připraveným, ale šťastnější jsou ti, kteří tomu umí předejít. Ale pozor. Pomyslný požár v podobě kybernetického útoku však nemusí být cílený jen a pouze na technologická zařízení.
Není výjimkou, že útok může cílit také na samotnou hodnotu a reputaci značky či produktu. Na lidi, kde pomocí vhodně modifikovaných prostředků lze ošálit oko nejednoho zaměstnance pomocí phishingu a jiných podvrhů. Implementací škodlivého kódu do našich vlastních aplikací, či zcizení digitálního vlastnictví, např. domény či sociální stránky. To vše, ač mimo naši síť, může vést k těžko napravitelným škodám.
Mapování rizika
Nástroje External Attack Surface Management označované zkratkou EASM mapující veškerou míru rizika nejen z pohledu útočníka. Zkusili jste si někdy odpovědět na otázku, jak vás vidí útočník a co o vás ví? Co vše lze o vaší organizaci zjistit z veřejných zdrojů? A to může být jen vrchol ledovce. Dále zde máme nemalé riziko v podobě zranitelností, zařízení aplikací i našich vlastních publikovaných systémů. Riziko zcizení účtů je jedno z těch, které jen těžko můžeme ovlivnit. Lidé jsou mnohdy nepoučitelní a i v případě, že k tomu máme ve vnitřní síti určené restrikce, s ochotou totéž heslo nebo e-mail zadají při registraci do externích systémů třetích stran, často zcela nedůvěryhodných. Takto zcizených účtů jsou na internetu celé databáze. Lidé ani administrátoři o úniku často vůbec netuší, neví a ani po něm nepátrají. Tím ale vystavují systémy riziku možné kompromitace, často neviditelné až do chvíle, kdy už je pozdě.
Informací a zdrojů o vás a vašem provozu je takové množství, že je těžké je obsáhnout. Často je složité na ně jen dosáhnout, následně jim rozumět a cíleně se dál nálezy zabývat. Nikdo nemá tolik času, aby procházel darknet a studoval obsah databází účtů a to, kdo o ně zrovna jeví zájem. Lidskou silou zkrátka nelze celkový objem dostupných informací obsáhnout, natož analyzovat. Proto je tolik důležité mít schopný EASM systém, který bude toto riziko neustále monitorovat a vyhodnocovat z obou úhlů pohledu. A to jak z pohledu útočníka, tak obránce.
Nutno poznamenat, že úspěch není v počtu, ale relevanci nálezů a jim správně navržených protiopatření. Bez pohledu zvenčí není možné správně identifikovat a vyhodnotit veškeré aktuální i dlouhodobé bezpečnostní rizika. Právě proto Fortinet přichází na pomoc s FortiRecon, produktem, který v této disciplíně exceluje a navíc k ní přidává průběžnou historii a porovnání v rámci odvětví a času.
Protipožární hlásič FortiRecon
Ve shodě s dříve použitým příměrem by mohl být FortiRecon z pohledu prevence označen za protipožární hlásič. Přesně taková je jeho role v předcházení vnějšímu riziku. Sám následkům nezabrání, ale umí je včasně identifikovat, kategorizovat a přesně popsat. Umí doporučit nápravné akce a v některých případech pomůže i s odstraněním nežádoucích nástrah. Zkusme si cvičně popsat některá rizika, se kterými FortiRecon pracuje a také přínosy, které nabízí. Skutečný výčet by byl ale mnohem delší.
Ochrana proti mnoha rizikům
Všechny organizace provozují aplikace, portály, webové stránky, VPN a mnohé další nástroje. Je ale celkem snadné zmást jejich uživatele a nastrčit falešnou webovou stránku či VPN portál. Tímto způsobem dokáží utočníci získat účty a přihlašovací údaje od nepozorných uživatelů. I sám obsah stránek může nést riziko v podobě malwaru. Spolu s oblíbeným phishingem, se nebezpečí ještě násobí. FortiRecon periodicky zkoumá, co vše se děje ve vlastním brandu a zároveň detekuje, co vzniká v záměrné podobnosti. Takovým případem může být založení falešné stránky.
Oblíbenou taktikou útočníků je také zakládání falešných doménových jmen spoléhající na nepozornost uživatele. Využívají optické podobnosti znaků či přímo spoléhají na překlepy. FortiRecon tyto falešné prostředky umožňuje jediným tlačítkem utlumit. Informaci o falešném obsahu tak obratem obdrží vlastník patřičných záznamů, případně registrátor nebo webhoster. U prostředků vlastního chráněného brandu FortiRecon kontinuálně kontroluje obsahovou čistotu, hledá a pečlivě analyzuje změny obsahu i jemu sestavené konfiguraci.
FortiRecon též na denní bázi zkoumá zranitelnosti provozovaných aplikací či publikovaných služeb. Všímá si dění na GitHubu a Pastebing, obsahu publikovaného kódu a návazných diskusí. V případě mobilních aplikací vlastního brandu publikovaných uvnitř AppStore a GooglePlay zkoumá, zda se neobjevila jim podobná aplikace případného útočníka, kterou si uživatel může omylem, byť v dobré víře, stáhnout.
Fenoménem doby a dost možná největším rizikem jsou zranitelnosti obsažené v kódu a jeho knihovnách. V době, kdy se objeví popsaná zranitelnost některého z publikovaných prostředků, aplikací nebo samotných zařízení na hraně perimetru, musíme být schopni okamžité reakce. FortiRecon tento průzkum nově publikovaných CVE dělá za nás za vlastní prostředky. Díky analýze a popisu zranitelnosti včetně hodnoceného rizika, dá správcům okamžitou informaci, jakou zranitelností jsou zasaženy konkrétní chráněné prostředky a jak mohou postupovat. Nelze se spoléhat jen na automatické aktualizace, ty se jen zřídka kdy týkají bezpečnostních bran, natož vlastního software, služeb a aplikací.
Otázka reputace je zvlášť citlivá pro provozované IP adresní rozsahy, domény a zejména certifikáty daného brandu. FortiRecon přesně popisuje veškerá rizika ve spojitosti s těmito provozními prostředky.
Umělá inteligence a kontinuální hodnocení
Jedna věc je vědět, že k úniku dat o účtech došlo. Riziko se ale násobí, jakmile jsou citlivé údaje uvedeny v některé z dostupných databází, nebo když jsou uniklé informace nabízeny k přímému prodeji. Riziko ale radikálně eskaluje, jakmile je někdo využije k přístupu do chráněného prostředí. V tomto případě se jedná o vteřiny a následky jsou nedozírné.
V době příchodu evropské směrnice NIS2 může FortiRecon velice dobře posloužit v mapování všech vnějších rizik. Na rozdíl od manuálně prováděných analýz rizik, zahrnuje FortiRecon do svého rozhodování i veškerou sílu a znalost výrobce díky znalostem z FortiGuard laboratoře. Do jeho rozhodování se tak dostávají i jinak nedostupné zdroje, nálezy a dění mimo běžně dostupný prostor internetu, výstupy širokého týmu analytiků, strojového učení a dnes také výstupů pokročilé umělé inteligence.
Všechny manuálně prováděné analýzy rizik a testy zranitelnosti vlastních aplikací a prostředků jsou platná pouze v momentu provedení. Druhý den již může být riziko vlivem proměnných podmínek zcela jiné. Proto je FortiRecon v kontinuálním hodnocení rizika tak prospěšný a zároveň návodný v popisu nápravy, zmírnění rizika i možných dopadů.
FortiRecon je cloudová služba, plně provozovaná na prostředcích výrobce. Nepojí se tedy s požadavky na vlastní instalační zdroje či kapacity. Služba je dostupná ve třech úrovňových stupních, vždy s volitelným rozsahem v intervalu od 500 do 100.000 monitorovaných prostředků. Pořízení služby, je možné realizovat předplatným v krocích 1, 3 a 5 let.
Třemi úrovňovými stupni jsou:
- FortiRecon EASM – management plochy vnějšího rizika
- FortiRecon EASM & Brand Protection – přidává kategorizaci rizika spojená s provozem vlastních služeb, aplikací a prostředků
- FortiRecon EASM ACI – přidává vrstvu analytiky, jedná se o přímé spojení s protivníky, kdy čerpá z průběžné analýzy dění na darkwebu, zpracované a posouzené odborným týmem výrobce
Foto: Pixabay
Zdroj: AUTOCONT